МЕТОДИ ЗАБЕЗПЕЧЕННЯ БЕЗПЕКИ ДЛЯ РОЗРОБКИ ВЕБЗАСТОСУНКІВ В ASP.NET CORE

Анотація

В статті представлено методи та ключові аспекти безпекових питань щодо розробки вебзастосунків із використанням технології ASP.NET Core. Загалом даного роду питання розглядаються з різних точок зору, а саме управління доступом та довірою, захисту від ін'єкцій та міжсайтових атак,  архітектурних рішень та ізоляції тощо.

У сучасних розподілених системах безпека ґрунтується на принципі найменших привілеїв, що забезпечується методом авторизації Claims-Based Authorization, який є науково більш гнучким та точним, ніж традиційна авторизація на основі ролей. Доступ надається не на підставі визначення ролі, а на підставі набору вимог чи тверджень, що дозволяє реалізувати так званий гранульований (деталізований) контроль доступу (Fine-Grained Access Control). У контексті прикладного програмного інтерфейсу, ключ аутентифікації користувача виступає як механізм інкапсуляції довіри. Токен містить криптографічно підписані твердження, що дозволяє застосункам бути без стану. Однак, науковою проблемою тут є відкликання токенів та забезпечення короткого часу життя токенів доступу для мінімізації ризику їх компроментації.

Для боротьби із вразливостями дкумент OWASP Top 10 вбудовано у фреймворк через методи безпечного кодування. ASP.NET Core використовує механізми контекстного кодування, наприклад, у Razor Pages для автоматичного контекстного кодування вихідних даних (HTML-кодування). Це є первинною лінією захисту від XSS-атак шляхом зміни інтерпретації даних браузером. Механізм захисту від CSRF-атак базується на використанні синхронізованих токенів, що є криптографічним способом підтвердження, що запит походить із довіреного джерела. Також використовується параметризація запитів через використання об’єктно-реляційного відображення, таких як Entity Framework Core і є реалізацією патерну безпечного доступу до даних, який мінімізує простір атаки для SQL-ін'єкцій, відділяючи команди від даних.

З погляду системної архітектури, ASP.NET Core вирішує питання безпеки на рівні конфігурації та розгортання. Система проміжного програмного забезпечення дозволяє централізовано впроваджувати політики безпеки, такі як перенаправлення на HTTPS та управління CORS (Cross-Origin Resource Sharing), що забезпечує агрегацію контролю безпеки на мережевому рівні.

Свою роль у забезпеченні безпекових питань відіграє також і управління секретами, оскільки сучасна парадигма вимагає повного відділення секретів ключів, паролів від коду та конфігураційних файлів. ASP.NET Core підтримує інтеграцію зі сховищами секретів, що є реалізацією принципу «не зберігати секрети у коді», а це підвищує безпеку шляхом ізоляції чутливої інформації.